我正在开发 Java Jersey 应用程序。在我的
pom.xml
文件中,我包含了某些具有严重漏洞的 Maven 依赖项。
即使升级到最新版本后,其中一些依赖项仍然存在严重漏洞。
我正在利用开源 OWASP 依赖项工具来扫描依赖项中的漏洞。 我关心的具体依赖关系是:
我想知道这些依赖项是否确实存在严重漏洞。如果是的话,您能否建议如何解决这个问题?
如果有任何关于可以检查依赖性漏洞的替代开源工具的建议,我将不胜感激。
我已将依赖项升级到最新版本,但仍然显示出严重漏洞。
必须仔细检查 OWASP 依赖性检查工具(与任何其他类似工具一样)的输出,因为它可能包含误报(在 OWASP 工具中很常见)和“有争议的”漏洞。
我创建了以下 POM,其中包含您列出的依赖项以及最新版本的 OWASP
dependency-check-maven
插件:
<?xml version="1.0" encoding="UTF-8"?>
<project xmlns="http://maven.apache.org/POM/4.0.0" xmlns:xsi="http://www.w3.org/2001/XMLSchema-instance"
xsi:schemaLocation="http://maven.apache.org/POM/4.0.0 http://maven.apache.org/xsd/maven-4.0.0.xsd">
<modelVersion>4.0.0</modelVersion>
<name>Test App</name>
<groupId>test</groupId>
<artifactId>testApp</artifactId>
<version>1.0.0-SNAPSHOT</version>
<packaging>jar</packaging>
<parent>
<groupId>org.springframework.boot</groupId>
<artifactId>spring-boot-starter-parent</artifactId>
<version>3.1.2</version>
<relativePath />
</parent>
<dependencies>
<dependency>
<groupId>com.datastax.cassandra</groupId>
<artifactId>cassandra-driver-extras</artifactId>
<version>3.11.4</version>
</dependency>
<dependency>
<groupId>com.fasterxml.jackson.core</groupId>
<artifactId>jackson-databind</artifactId>
<version>2.15.2</version>
</dependency>
<dependency>
<groupId>org.json</groupId>
<artifactId>json</artifactId>
<version>20230618</version>
</dependency>
<dependency>
<groupId>org.apache.spark</groupId>
<artifactId>spark-core_2.13</artifactId>
<version>3.4.1</version>
</dependency>
<dependency>
<groupId>org.apache.kerby</groupId>
<artifactId>kerb-server</artifactId>
<version>1.0.1</version>
</dependency>
</dependencies>
<build>
<plugins>
<plugin>
<groupId>org.owasp</groupId>
<artifactId>dependency-check-maven</artifactId>
<version>8.4.0</version>
<executions>
<execution>
<goals>
<goal>check</goal>
</goals>
</execution>
</executions>
</plugin>
</plugins>
</build>
</project>
然后我对其执行了
mvn verify
。由此产生的漏洞报告显示:
Vulnerable Dependencies: 25
Vulnerabilities Found: 56
让我们只检查您列出的前 3 个库的漏洞:
cassandra-driver-extras-3.11.4.jar
:这是误报,因为该工具报告了 Apache Cassandra(另一个软件)的 CVE。jackson-databind-2.15.2.jar
:这是最新版本,只有一个 CVE 标记为“有争议”。由您决定是否可以忽略它。json-20230618.jar
:这是误报,因为报告称“20230227 以下的版本”容易受到攻击,但您的版本较新。等等。